Conformité IA

AI Act

AI Act — règlement européen sur l'Intelligence Artificielle, échéances 2025-2028, sanctions.

L'AI Act (règlement UE 2024/1689) est le premier cadre juridique mondial encadrant les systèmes d'Intelligence Artificielle. Entré en vigueur le 1er août 2024, déploiement échelonné jusqu'en 2028. Voir AI Act entreprise pour la mise en pratique B2B et AI Act Europe pour le calendrier détaillé. Sanctions : jusqu'à 35 M€ ou 7 % du CA mondial. Articulation forte avec le RGPD et la norme ISO 42001. En France, la CNIL est l'autorité de contrôle principale.
Définition

Qu'est-ce que l'AI Act

L'AI Act est le règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle. Il a été publié au Journal officiel de l'Union européenne le 12 juillet 2024 et est entré en vigueur le 1er août 2024. Il s'agit du premier cadre juridique mondial couvrant l'ensemble des systèmes d'intelligence artificielle, des modèles fondationnels aux applications métier.

Le règlement vise un triple objectif : protéger les droits fondamentaux (vie privée, non-discrimination, dignité) face aux risques de l'IA, créer un marché unique européen de l'IA en harmonisant les règles entre les 27 États membres, et stimuler l'innovation européenne en offrant un cadre de confiance pour le développement et l'adoption.

Le règlement s'applique de manière extraterritoriale : un fournisseur ou un déployeur établi hors de l'Union européenne reste soumis à l'AI Act dès qu'il place un système IA sur le marché de l'Union ou que les résultats produits par le système sont utilisés dans l'Union. Cette portée est calquée sur celle du RGPD.

Architecture

Une classification par niveau de risque

L'AI Act fonde son architecture sur une classification proportionnée des systèmes IA selon leur niveau de risque. Quatre catégories sont définies, avec des obligations strictement progressives :

1. Risque inacceptable — interdiction

Pratiques prohibées par l'article 5 : scoring social par les autorités publiques, manipulation comportementale subliminale, exploitation de vulnérabilités, identification biométrique en temps réel dans l'espace public (sauf exceptions strictement encadrées), reconnaissance d'émotions sur le lieu de travail ou en milieu éducatif. Sanction maximale : 35 M€ ou 7 % du chiffre d'affaires mondial.

2. Haut risque — obligations renforcées

Systèmes listés à l'annexe III du règlement : composants de sécurité, biométrie d'identification, infrastructures critiques, éducation, emploi (recrutement, évaluation, gestion), services essentiels (crédit, assurance, aide sociale), application de la loi, gestion des migrations, administration de la justice et processus démocratiques. Obligations : documentation technique, gouvernance des données, supervision humaine, traçabilité, gestion des risques.

3. Transparence — information de l'utilisateur

Systèmes interagissant directement avec les personnes : agents conversationnels, contenus générés (texte, image, audio, vidéo), systèmes de reconnaissance d'émotions et de catégorisation biométrique. Obligation : informer clairement les personnes qu'elles interagissent avec un système IA, marquer les contenus générés comme tels (article 50).

4. Risque minimal — pas d'obligation spécifique

Tous les autres systèmes IA : filtres antispam, systèmes de recommandation produit, traduction automatique, jeux vidéo, optimisation de processus internes. Pas d'obligation au titre de l'AI Act, mais l'obligation d'AI literacy (article 4) s'applique à tous les déployeurs sans exception.

À cela s'ajoute un régime spécifique pour les modèles d'IA à usage général (GPAI) — type GPT, Claude, Mistral, Llama — qui repose sur leur capacité technique plutôt que sur leur usage final. Les modèles présentant un « risque systémique » (au-delà d'un seuil de calcul d'entraînement) sont soumis à des obligations supplémentaires de sûreté et d'évaluation.

Calendrier d'application

Cinq étapes pour une application complète d'ici 2028

L'AI Act ne s'applique pas d'un seul coup : son entrée en vigueur s'étale sur près de quatre ans, en cinq jalons successifs.

DateObligationPublic concerné
1er août 2024Entrée en vigueur formelleTous (calendrier d'application démarre)
2 février 2025Interdiction des systèmes prohibés (art. 5) + obligation d'AI literacy (art. 4)Tous fournisseurs et déployeurs
2 août 2025Obligations applicables aux modèles d'IA à usage général (GPAI), gouvernance et autoritésFournisseurs de modèles GPAI
2 août 2026Régime général d'application : codes de conduite, normes harmonisées, certification des organismes d'évaluationTous (régime normal)
2 décembre 2027Systèmes haut risque listés à l'annexe III (selon le règlement Digital Omnibus du 7 mai 2026, sous réserve de confirmation au JO de l'UE — calendrier initial : 2 août 2026)Fournisseurs et déployeurs de systèmes haut risque annexe III
2 août 2028Systèmes haut risque intégrés aux produits soumis à évaluation de conformité préalable (annexe I)Fournisseurs de produits réglementés intégrant de l'IA

À retenir pour une entreprise française en 2026 : les obligations d'AI literacy (formation des collaborateurs aux usages IA) et l'interdiction des systèmes prohibés sont déjà applicables. Les obligations sur les systèmes haut risque s'appliqueront au 2 décembre 2027 — soit moins de 20 mois pour préparer la mise en conformité documentaire et opérationnelle des systèmes RH, financiers, éducatifs et de services essentiels.

Obligations haut risque

Sept exigences cumulatives pour les systèmes haut risque

Les fournisseurs et déployeurs de systèmes haut risque listés à l'annexe III du règlement doivent satisfaire à sept séries d'obligations cumulatives, détaillées aux articles 9 à 15 :

  • Article 9 — Gestion des risques. Mise en place d'un système de gestion des risques continu sur tout le cycle de vie du système IA, depuis la conception jusqu'au retrait. Identification, évaluation, et atténuation des risques connus et prévisibles.
  • Article 10 — Gouvernance des données. Qualité, représentativité, pertinence et absence de biais des jeux de données d'entraînement, de validation et de test. Documentation des sources, des préparations et des transformations appliquées.
  • Article 11 — Documentation technique. Production et tenue à jour d'une documentation technique exhaustive du système IA, conforme à l'annexe IV : description générale, conception, performances, gestion des risques, supervision humaine.
  • Article 12 — Journalisation et traçabilité. Mise en place d'un dispositif de journalisation automatique des évènements pertinents pendant le fonctionnement du système, suffisant pour permettre une analyse a posteriori.
  • Article 13 — Transparence. Information claire et adaptée à l'utilisateur sur les caractéristiques, les capacités, les limites du système IA, ses conditions d'utilisation prévues et les performances escomptées.
  • Article 14 — Supervision humaine. Conception du système IA permettant une supervision humaine effective : capacité d'intervention, de modification, ou d'arrêt par une personne humaine compétente, dans des conditions opérationnelles.
  • Article 15 — Robustesse, précision, cybersécurité. Atteinte d'un niveau approprié de précision et de robustesse, résistance aux erreurs, aux attaques adverses, et aux usages détournés. Maintien de ces propriétés tout au long du cycle de vie.

À ces obligations techniques s'ajoutent les obligations de l'article 26 spécifiques aux déployeurs : tenue d'un registre, information des personnes concernées, conservation des journaux, signalement des incidents graves, et — pour les usages en matière de RH ou de services essentiels — réalisation d'une analyse d'impact sur les droits fondamentaux (AIDF, article 27).

Sanctions

Un régime de sanctions trois fois plus élevé que le RGPD

Les articles 99 et 100 du règlement instituent un régime de sanctions administratives à la hauteur des enjeux. Trois niveaux de sanctions sont définis, applicables au montant le plus élevé entre une somme fixe et un pourcentage du chiffre d'affaires mondial annuel :

35 M€ ou 7 % du CA mondial

Sanction maximale pour la violation des interdictions de l'article 5 (pratiques prohibées). C'est le plafond le plus élevé du droit numérique européen — supérieur à celui du RGPD (20 M€ / 4 %).

15 M€ ou 3 % du CA mondial

Sanction pour la violation des obligations applicables aux systèmes haut risque, aux modèles GPAI, et au régime de transparence. C'est le niveau de sanction le plus fréquent à anticiper.

7,5 M€ ou 1 % du CA mondial

Sanction pour les violations de moindre gravité, notamment la fourniture d'informations incorrectes ou incomplètes aux autorités de surveillance dans le cadre d'un contrôle.

Pour les PME et les start-ups, l'article 99 prévoit que les sanctions soient appliquées au montant le plus faible (et non au montant le plus élevé) — disposition de proportionnalité destinée à éviter un effet disproportionné sur les petites structures. Les sanctions sont prononcées par l'autorité nationale compétente, après procédure contradictoire.

Application en France

Quelles autorités contrôlent l'AI Act en France

La désignation de l'autorité nationale française compétente est en cours en 2026. Plusieurs scénarios sont discutés, sans annonce officielle au moment de la publication de cette page :

  • Option 1 — autorité dédiée. Création d'une autorité administrative indépendante spécifiquement dédiée à l'intelligence artificielle, sur le modèle de l'ANSSI ou de l'ARCEP. Permettrait une expertise concentrée et une visibilité institutionnelle forte.
  • Option 2 — répartition entre CNIL et DGCCRF/DGE. La CNIL prendrait en charge le volet « droits et données » (articles 9, 10, 14), pendant que la DGCCRF ou la DGE prendrait en charge le volet « produit » (articles 11, 12, 15). Permettrait de capitaliser sur les compétences existantes.
  • Option 3 — autorités sectorielles. Délégation partielle aux régulateurs sectoriels existants : ACPR pour la finance, ARS et HAS pour la santé, ARCOM pour les médias, Banque de France et AMF pour les services financiers.

En pratique, dès aujourd'hui, c'est la CNIL qui exerce le contrôle effectif sur les usages IA traitant des données personnelles — soit la grande majorité des cas d'usage en entreprise. Voir notre page dédiée CNIL et IA. Au niveau européen, l'AI Office (Bureau européen de l'IA), créé au sein de la Commission européenne, supervise les modèles GPAI et coordonne les autorités nationales.

Articulation

AI Act, RGPD, ISO 42001 — comment s'articulent les trois textes

Les obligations AI Act ne se substituent pas aux obligations préexistantes. Elles s'ajoutent et doivent être articulées avec :

  • RGPD (Règlement UE 2016/679). Tout système IA traitant des données personnelles reste soumis au RGPD : base légale, information, droits d'accès, analyse d'impact, décisions automatisées (article 22). Voir RGPD et IA.
  • ISO/IEC 42001:2023. Norme internationale volontaire de management des systèmes IA, publiée en décembre 2023. Sa structure s'aligne avec les exigences AI Act et facilite la mise en conformité documentaire. Voir ISO 42001.
  • Doctrines sectorielles. Pour la santé (MDR), la finance (DORA, EBA), l'éducation, le transport, etc., les obligations sectorielles s'articulent avec l'AI Act sans s'y substituer.

Notre cabinet conduit des missions de mise en conformité qui couvrent simultanément les trois axes — voir notre page Conformité IA pour le détail de la démarche d'audit.

FAQ

Questions fréquentes — AI Act

L'AI Act s'applique-t-il aux entreprises hors Union européenne ?

Oui, dès lors qu'elles placent un système IA sur le marché de l'Union européenne ou que les résultats produits par le système sont utilisés dans l'Union. La portée extraterritoriale du règlement est calquée sur celle du RGPD. Une entreprise américaine, britannique ou japonaise qui propose un service IA à des clients européens est soumise à l'AI Act, même sans établissement physique en Europe. Pour les fournisseurs établis hors UE, le règlement impose la désignation d'un mandataire dans l'Union (article 25).

Mon entreprise utilise ChatGPT en interne — suis-je concerné ?

Oui. Vous êtes « déployeur » au sens de l'AI Act dès lors que vous utilisez un système IA sous votre propre autorité. Pour ChatGPT, Claude, Mistral et les autres assistants généralistes utilisés en interne (catégorie « risque minimal »), les obligations sont limitées : essentiellement l'obligation d'AI literacy (article 4) — formation de vos collaborateurs aux usages, aux limites et aux risques. Cette obligation est applicable depuis le 2 février 2025.

Comment savoir si un système est haut risque ?

Un système est qualifié de haut risque s'il relève de l'annexe III du règlement (huit familles de cas d'usage : biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migrations, administration de la justice) ou s'il est un composant de sécurité d'un produit soumis à évaluation de conformité préalable (annexe I). La qualification est faite par le fournisseur, sous sa responsabilité, et documentée. En cas de doute, une analyse de qualification est conduite avec un cabinet spécialisé.

Quel impact a le règlement Digital Omnibus sur le calendrier ?

Le Digital Omnibus, accord politique trouvé le 7 mai 2026 entre Parlement et Conseil, prévoit notamment de reporter la mise en application des obligations relatives aux systèmes haut risque listés à l'annexe III, du 2 août 2026 au 2 décembre 2027. Ce report donne 19 mois supplémentaires aux organisations pour préparer leur mise en conformité. Il ne modifie pas le calendrier des obligations déjà applicables (interdictions, AI literacy, modèles GPAI). Sous réserve de confirmation par publication au Journal officiel de l'Union européenne.

Faut-il anticiper la conformité dès maintenant ?

Oui, pour deux raisons. D'abord, parce que la mise en conformité prend du temps : pour une ETI déployant 15 à 30 systèmes IA, la démarche complète (cartographie, qualification, documentation, gouvernance) s'étale typiquement sur 12 à 18 mois. Engager la démarche en 2026 permet d'être prêt à l'échéance du 2 décembre 2027 sans urgence. Ensuite, parce que la conformité IA devient un critère commercial : les grands comptes intègrent l'AI Act dans leurs questionnaires de due diligence fournisseurs. Une politique IA documentée est un atout, parfois une condition d'éligibilité aux appels d'offres.

Combien coûte une démarche de mise en conformité AI Act ?

Pour une PME (cartographie de 5 à 15 systèmes), comptez 15 000 à 35 000 € HT. Pour une ETI (15 à 50 systèmes), 45 000 à 90 000 € HT. Pour un grand groupe ou un secteur réglementé (plus de 50 systèmes, articulation avec les autorités sectorielles), 80 000 à 150 000 € HT. Détail des tarifs sur notre page Offres. Toute mission donne lieu à un devis détaillé après un appel de cadrage.

Parlons de votre projet

Un appel stratégique pour cadrer votre démarche IA.

Échangez avec un dirigeant Expert IA pour structurer votre projet d'intelligence artificielle — diagnostic du contexte, identification des cas d'usage prioritaires, cadrage de la démarche.

Demander un appel stratégique